黑客和卡德论坛计算在MYBB软件上运行的10,000个网站中
更新beplay体育能用吗在发现和缓解多个安全缺陷之后,已敦促其在MYBB平台上运行的网站在MYBB平台上运行的网站管理员 - 其中两个被标记为“高风险”。
昨天推出版本1.8.21MYBB的修复程序解决了许多安全问题,包括可能导致远程代码执行(RCE)的关键样式表漏洞,使攻击者完全访问所有用户帐户,私人线程和存储在董事会数据库中的消息。
可以通过持久性实现代码执行跨站脚本(XSS)软件的嵌套视频功能中的缺陷。
漏洞是由RIPS技术研究人员Simon Scannell和Robin Peraglie发现的,他们与MYBB项目团队合作,以确保协调的披露。
“我们发现了一个存储的XSSScannell告诉Scannell告诉每日swbeplay2018官网ig。
尽管RCE错误属于“经过身份验证”类别,但Scannell继续解释说,攻击者只需要在目标论坛上的来宾帐户即可向管理员发送包含恶意JavaScript代码的私人消息,该消息利用了漏洞。
他说:“这将导致攻击者完全远程接管目标委员会,一旦管理员同时在后端环境中进行了身份验证 - 打开了恶意的私人信息。”
“无需进一步的用户互动。”
协调的披露
MYBB是用PHP编写的免费开源论坛软件。根据项目发言人的说法,目前有超过10,000多个由该软件提供动力的活动板。
Scannell说:“有趣的是,当我研究了著名的MyBB董事会时,其中一些是黑客和卡德论坛。”
MYBB项目团队的Tomasz Mlynski向用户提供指导,MYBB的管理员控制面板提示管理员至少每两周检查一次更新,或者在发现较新版本的情况下显示通知。
“可以通过上传新软件包并运行附加的更新脚本来更新运行MYBB的讨论委员会。”
尽管数千个在线论坛现在需要一个补丁以防止RCE和XSS错误,但很明显,MYBB开发团队认真对待其平台的安全性。
专用安全门户在MYBB项目上,已设计目的是使研究人员尽可能容易地进行披露过程。
安全咨询说:“ MYBB项目归功于记者和研究人员在负责任的披露之后。”
在讨论开源项目中协调披露的重要性时,Mlynski说:“完全合作 - 目前在我们的情况下,不仅涉及协调的披露,还涉及解决方案开发和后续行动渗透测试- 当安全补丁在发布时得到纠正或改进时,已经证明有价值的机会是值得的。
“我们可以看到该领域的更多资源(由试图破坏我们建立的东西但目标相似的外部,对抗团队提供的资源如何,可以改善安全计划的健康和稳定性,从而更加可靠地提供修复程序快点。
“我们认为,开源项目具有特殊的兴趣和条件,可以提供透明度和高水平的技术细节。
“经验丰富的用户应该很好地意识到所有平台都可能是脆弱的,因此不同的不是供应商声称的安全性,或者他们很少提到有安全问题,而是将其付诸实践的程序和历史记录。透明
查看撕裂技术博客文章为了完全对漏洞进行全面的技术细分。
本文已更新以包括MYBB的评论。